ShadowPad: malware v produktech NetSarang pro správu serverů

Pavel Houser , 17. srpen 2017 13:43 0 komentářů
Rubriky: Security

Útočníci schovali backdoor ShadowPad v softwaru využívaném stovkami světových společností včetně bank.

Odborníci ze společnosti Kaspersky Lab objevili backdoor v softwaru pro správu serverů využívaném stovkami velkých firem po celém světě. Pokud by došlo k jeho aktivování, útočníci by mohli prostřednictvím backdooru instalovat další škodlivé moduly nebo krást data. Společnost NetSarang, poskytovatel tohoto softwaru, již škodlivý kód odstranila a pro své zákazníky vydala aktualizaci.

ShadowPad je jedním z největších doposud známých útoků na dodavatelské řetězce. Pokud by nedošlo k jeho detekci a následnému záplatování softwaru, mohl potenciálně napadnout stovky organizací po celém světě.

V červenci 2017 oslovil Global Research and Analysis (GReAT) tým společnosti Kaspersky Lab jeden z jeho partnerů z oblasti finančnictví. Jeho bezpečnostní specialisté byli znepokojeni podezřelými požadavky DNS (domain name server). Ty pocházely ze systémů zabývajících se zpracováním finančních transakcí. Další analýza odhalila, že zdrojem těchto požadavků byl legální software pro správu serverů, který využívají stovky zákazníků z oboru finančních služeb, vzdělávání, telekomunikací, výroby, energetiky a dopravy. Nejvážnějším zjištěním byla skutečnost, že tento software neměl podle výrobce tyto požadavky vůbec zasílat.

Analýza dále ukázala, že podezřelé požadavky byly ve skutečnosti výsledkem aktivity škodlivého modulu ukrytého v nejnovější verzi legálního softwaru. Po instalaci infikované softwarové aktualizace byl modul připraven začít jednou za osm hodin vysílat DNS dotazy na specifické domény (své C&C servery). V takovém případě by dotaz mohl obsahovat základní informace o systému oběti. Pokud by útočníci označili systém za „zajímavý“, příkazový server by odpověděl a aktivoval backdoor jako celek.

Analýza ukazuje, že doposud byly tyto škodlivé moduly aktivovány v Hongkongu. Nicméně v mnoha dalších firemních systémech na celém světě by mohly být nečinné a stále představovat riziko.

V průběhu analýzy technik a nástrojů využitých útočníkyse zjistilo, že jsou některé z nich velmi podobné těm, které dříve použila známá čínsky mluvící kyberšpionážní skupina Winnti APT v malwaru PlugX. Tyto informace však nestačí k tomu, aby se mezi současným útokem a zmíněnými aktéry dalo vytvořit jednoznačné spojení.


Komentáře

RSS 

Komentujeme

Makroviry inspirují

Pavel Houser , 20. září 2017 06:30

Úspěšný návrat malwaru šířeného pomocí maker vedl útočníky k tomu, že svou pozornost obrátili k příb...

Více






Kalendář

25. 09.

29. 09.
Susecon 17
25. 09.

29. 09.
Microsoft Ignite 2017
26. 09.

26. 08.
Affiliate konferencia 2017
RSS 

Zprávičky

Nové verze Javy: Java SE 9 a Java EE 8

Pavel Houser , 22. září 2017 14:51

Oracle oznamuje všeobecnou dostupnost nových verzí platformy Java: Java SE 9 (JDK 9), Java Platform ...

Více 0 komentářů

Baidu investuje do vývoje autonomního řízení

ČTK , 22. září 2017 13:00

Cílem projektu Apollo je vyvinout technologii pro samořízené automobily do roku 2020....

Více 0 komentářů

Kaprain koupil kabelovou Rio Media

ČTK , 22. září 2017 09:00

Spojením Nej.cz a Rio Media vznikne druhý největší poskytovatel kabelové televize a významný poskyto...

Více 0 komentářů

Starší zprávičky

Apple přiznává: Nové hodinky mají problémy s připojením

ČTK , 22. září 2017 08:00

Problémy s konektivitou mají hodinky v okamžiku, kdy mají použít veřejnou wi-fi síť....

Více 0 komentářů

Spíše než nové zákony k Airbnb je třeba zlepšit výběr daní

ČTK , 21. září 2017 13:00

Airbnb se svými službami v Praze už vyrovnala objemu obchodu klasických ubytovacích zařízení....

Více 0 komentářů

Potvrzeno: Google opravdu kupuje část HTC

ČTK , 21. září 2017 11:25

Dnes je HTC v žebříčku světových prodejů smartphonů na necelém procentu. Někteří analytici proto pří...

Více 0 komentářů

Oracle představil novou cenovou politiku pro cloud

Pavel Houser , 21. září 2017 09:52

Až dosud se při přechodu na cloud PaaS nedaly využít dosavadní investice do licencí softwaru v režim...

Více 0 komentářů